Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Penting
Pemberitahuan Penghentian: Microsoft Defender for Cloud Apps Agen SIEM
Sebagai bagian dari proses konvergensi kami yang sedang berlangsung di seluruh beban kerja Microsoft Defender, agen SIEM Microsoft Defender for Cloud Apps akan ditolak mulai November 2025.
Agen SIEM Microsoft Defender for Cloud Apps yang ada akan terus berfungsi apa adanya hingga saat itu. Mulai 19 Juni 2025, tidak ada agen SIEM baru yang dapat dikonfigurasi, tetapi Microsoft Sentinel integrasi agen (Pratinjau), akan tetap didukung dan masih dapat ditambahkan.
Kami merekomendasikan untuk beralih ke API yang mendukung pengelolaan data aktivitas dan peringatan dari beberapa beban kerja. API ini meningkatkan pemantauan dan manajemen keamanan dan menawarkan kemampuan tambahan menggunakan data dari beberapa beban kerja Microsoft Defender.
Untuk memastikan kelangsungan dan akses ke data yang saat ini tersedia melalui agen SIEM Microsoft Defender for Cloud Apps, sebaiknya transisi ke API yang didukung berikut:
- Untuk pemberitahuan dan aktivitas, lihat: Microsoft Defender XDR Streaming API.
- Untuk peristiwa log masuk Perlindungan Microsoft Entra ID, lihat tabel IdentityLogonEvents dalam skema advanced hunting.
- Untuk API Pemberitahuan Keamanan Microsoft Graph, lihat: Mencantumkan alerts_v2
- Untuk melihat data pemberitahuan Microsoft Defender for Cloud Apps di API insiden Microsoft Defender XDR, lihat API insiden Microsoft Defender XDR dan jenis sumber daya insiden
Anda dapat mengintegrasikan Microsoft Defender for Cloud Apps dengan server SIEM generik Anda untuk mengaktifkan pemantauan pemberitahuan dan aktivitas terpusat dari aplikasi yang terhubung. Karena aktivitas dan peristiwa baru didukung oleh aplikasi yang terhubung, visibilitas ke dalamnya kemudian diluncurkan ke Microsoft Defender for Cloud Apps. Mengintegrasikan dengan layanan SIEM memungkinkan Anda melindungi aplikasi cloud dengan lebih baik sambil mempertahankan alur kerja keamanan biasa, mengotomatiskan prosedur keamanan, dan berkorelasi antara peristiwa berbasis cloud dan lokal. Agen SIEM Microsoft Defender for Cloud Apps berjalan di server Anda dan menarik pemberitahuan dan aktivitas dari Microsoft Defender for Cloud Apps dan mengalirkannya ke server SIEM.
Ketika Anda pertama kali mengintegrasikan SIEM dengan Defender for Cloud Apps, aktivitas dan peringatan dari dua hari terakhir akan diteruskan ke SIEM, dan setelah itu semua aktivitas dan peringatan akan diteruskan (berdasarkan filter peringatan dan aktivitas yang Anda konfigurasi saat menyiapkan SIEM). Jika Anda menonaktifkan fitur ini untuk jangka waktu yang lama, lalu mengaktifkannya kembali, peringatan dan aktivitas dari dua hari sebelumnya akan diteruskan, lalu semua peringatan dan aktivitas setelah itu.
Solusi integrasi tambahan meliputi:
- Microsoft Sentinel - SIEM dan SOAR berbasis cloud yang dapat diskalakan untuk integrasi bawaan. Untuk informasi tentang mengintegrasikan dengan Microsoft Sentinel, lihat integrasi Microsoft Sentinel.
- Microsoft API grafik keamanan - Layanan perantara (atau broker) yang menyediakan satu antarmuka terprogram untuk menghubungkan beberapa penyedia keamanan. Untuk informasi selengkapnya, lihat Integrasi solusi keamanan menggunakan Microsoft Graph Security API.
Arsitektur integrasi SIEM umum
Agen SIEM disebarkan di jaringan organisasi Anda. Setelah diterapkan dan dikonfigurasi, sistem ini mengambil tipe data yang telah dikonfigurasi (peringatan dan aktivitas) menggunakan API RESTful Defender for Cloud Apps. Data pemberitahuan dan aktivitas kemudian dikirim melalui saluran HTTPS terenkripsi pada port 443.
Setelah agen SIEM mengambil data dari Defender for Cloud Apps, agen SIEM mengirim pesan Syslog ke SIEM lokal Anda. Defender for Cloud Apps menggunakan konfigurasi jaringan yang Anda berikan selama penyiapan (TCP atau UDP dengan port kustom).
SIEM yang didukung
Defender for Cloud Apps saat ini mendukung Micro Focus ArcSight dan CEF generik.
Cara mengintegrasikan SIEM Anda dengan Defender for Cloud Apps
Integrasi dengan SIEM Anda dilakukan dalam tiga langkah:
- Siapkan di Defender for Cloud Apps.
- Unduh file JAR dan jalankan di server Anda.
- Validasi bahwa agen SIEM berfungsi.
Prasyarat
- Windows standar atau server Linux (bisa menjadi komputer virtual).
- OS: Windows atau Linux
- CPU: 2
- Ruang disk: 20 GB
- Memori RAM: 2 GB
- Server harus berjalan Java 8. Versi sebelumnya tidak didukung.
- Keamanan Lapisan Transportasi (TLS) 1.2+. Versi sebelumnya tidak didukung.
- Atur firewall Anda seperti yang dijelaskan dalam Persyaratan jaringan
Mengintegrasikan dengan SIEM Anda
Langkah 1: Menyiapkannya di Defender for Cloud Apps
Lakukan langkah-langkah berikut untuk membuat dan mengonfigurasi agen SIEM di Defender for Cloud Apps:
Di Portal Microsoft Defender, pilih Pengaturan. Lalu pilih Cloud Apps.
Di bawah Sistem, pilih agen SIEM. Pilih Tambahkan agen SIEM, lalu pilih SIEM Generik.
Dalam wizard, pilih Mulai Wizard.
Dalam wizard, isi nama, dan Pilih format SIEM Anda dan atur pengaturan Tingkat Lanjut apa pun yang relevan dengan format tersebut. Pilih Selanjutnya.
Ketik alamat IP atau nama host host syslog Jarak Jauh dan nomor port Syslog. Pilih TCP atau UDP sebagai protokol Syslog Jarak Jauh. Anda dapat bekerja dengan admin keamanan untuk mendapatkan detail ini jika Anda tidak memilikinya. Pilih Selanjutnya.
Pilih jenis data mana yang ingin Anda ekspor ke server SIEM Anda untuk Pemberitahuan dan Aktivitas. Gunakan slider untuk mengaktifkan dan menonaktifkannya, secara default, semuanya dipilih. Anda dapat menggunakan menu drop-down Terapkan ke untuk mengatur filter agar hanya mengirim pemberitahuan dan aktivitas tertentu ke server SIEM Anda. Pilih Edit dan pratinjau hasil untuk memeriksa apakah filter berfungsi seperti yang diharapkan. Pilih Selanjutnya.
Salin token dan simpan untuk nanti. Pilih Selesai dan biarkan Wizard. Kembali ke halaman SIEM untuk melihat agen SIEM yang Anda tambahkan dalam tabel. Agen SIEM muncul dalam tabel dengan status Dibuat hingga agen tersambung ke Defender for Cloud Apps.
Note
Token apa pun yang Anda buat terikat ke admin yang membuatnya. Ini berarti bahwa jika pengguna admin dihapus dari Defender for Cloud Apps, token tidak akan valid lagi. Token SIEM generik menyediakan izin baca-saja untuk satu-satunya sumber daya yang diperlukan. Tidak ada izin lain yang diberikan sebagai bagian dari token ini.
Langkah 2: Unduh file JAR dan jalankan di server Anda
Dalam Pusat Unduh Microsoft, setelah menerima persyaratan lisensi perangkat lunak, unduh file .zip dan buka zipnya.
Jalankan file yang diekstrak di server Anda:
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN
Note
- Nama file mungkin berbeda tergantung pada versi agen SIEM.
- Parameter dalam tanda kurung [ ] bersifat opsional, dan harus digunakan hanya jika relevan.
- Sebaiknya jalankan JAR selama startup server.
- Windows: Jalankan sebagai tugas terjadwal dan pastikan Anda mengonfigurasi tugas agar Jalankan baik pengguna sedang masuk maupun tidak serta hapus centang pada kotak centang Hentikan tugas jika berjalan lebih lama dari.
- Linux: Tambahkan perintah jalankan dengan & ke file rc.local. Sebagai contoh:
java -jar mcas-siemagent-0.87.20-signed.jar [--logsDirectory DIRNAME] [--proxy ADDRESS[:PORT]] --token TOKEN &
Di mana variabel berikut digunakan:
- DIRNAME adalah jalur ke direktori yang ingin Anda gunakan untuk log debug agen lokal.
- ADDRESS[:PORT] adalah alamat dan port server proksi yang digunakan server untuk terhubung ke internet.
- TOKEN adalah token agen SIEM yang Anda salin ketika Anda selesai membuat agen SIEM di Defender for Cloud Apps.
Anda dapat mengetik -h kapan saja untuk mendapatkan bantuan.
Contoh log aktivitas
Berikut ini adalah contoh log aktivitas yang dikirim ke SIEM Anda:
2017-11-22T17:50:04.000Z CEF:0|MCAS|SIEM_Agent|0.111.85|EVENT_CATEGORY_LOGOUT|Log out|0|externalId=1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0 rt=1511373004000 start=1511373004000 end=1511373004000 msg=Log out suser=admin@contoso.com destinationServiceName=ServiceNow dvc=13.82.149.151 requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511373015679_167ae3eb-ed33-454a-b548-c2ed6cea6ef0,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:40:15.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_VIEW_REPORT|View report|0|externalId=1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a rt=1511898015000 start=1511898015000 end=1511898015000 msg=View report: ServiceNow Report 23 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511898027370_e272cd5f-31a3-48e3-8a6a-0490c042950a,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=23,sys_report,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:25:34.000Z CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798 rt=1511897134000 start=1511897134000 end=1511897134000 msg=Delete object: ServiceNow Object f5122008db360300906ff34ebf96198a suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897141625_7558b33f-218c-40ff-be5d-47d2bdd6b798,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:40:14.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_CREATE_USER|Create user|0|externalId=1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c rt=1511815214000 start=1511815214000 end=1511815214000 msg=Create user: user 747518c0db360300906ff34ebf96197c suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815215873_824f8f8d-2ecd-439b-98b1-99a1adf7ba1c,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,747518c0db360300906ff34ebf96197c,sys_user,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-27T20:41:20.000Z CEF:0|MCAS|SIEM_Agent|0.112.49|EVENT_CATEGORY_DELETE_USER|Delete user|0|externalId=1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383 rt=1511815280000 start=1511815280000 end=1511815280000 msg=Delete user: user 233490c0db360300906ff34ebf9619ef suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511815287798_bcf60601-ecef-4207-beda-3d2b8d87d383,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,233490c0db360300906ff34ebf9619ef,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
2017-11-28T19:24:55.000Z LAB-EUW-ARCTEST CEF:0|MCAS|SIEM_Agent|0.112.68|EVENT_CATEGORY_DELETE_OBJECT|Delete object|0|externalId=1511897117617_5be018ee-f676-4473-a9b5-5982527409be rt=1511897095000 start=1511897095000 end=1511897095000 msg=Delete object: ServiceNow Object b1709c40db360300906ff34ebf961923 suser=admin@contoso.com destinationServiceName=ServiceNow dvc= requestClientApplication= cs1Label=portalURL cs1=https://contoso.portal.cloudappsecurity.com/#/audits?activity.id\=eq(1511897117617_5be018ee-f676-4473-a9b5-5982527409be,) cs2Label=uniqueServiceAppIds cs2=APPID_SERVICENOW cs3Label=targetObjects cs3=,,admin@contoso.com,admin@contoso.com,admin@contoso.com cs4Label=policyIDs cs4= c6a1Label="Device IPv6 Address" c6a1=
Teks berikut adalah contoh logfile pemberitahuan:
2017-07-15T20:42:30.531Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|myPolicy|3|externalId=596a7e360c204203a335a3fb start=1500151350531 end=1500151350531 msg=Activity policy ''myPolicy'' was triggered by ''admin@box-contoso.com'' suser=admin@box-contoso.com destinationServiceName=Box cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596a7e360c204203a335a3fb cs2Label=uniqueServiceAppIds cs2=APPID_BOX cs3Label=relatedAudits cs3=1500151288183_acc891bf-33e1-424b-a021-0d4370789660 cs4Label=policyIDs cs4=59f0ab82f797fa0681e9b1c7
2017-07-16T09:36:26.550Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b339b0c204203a33a51ae start=1500197786550 end=1500197786550 msg=Activity policy ''test-activity-policy'' was triggered by ''user@contoso.com'' suser=user@contoso.com destinationServiceName=Salesforce cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b339b0c204203a33a51ae cs2Label=uniqueServiceAppIds cs2=APPID_SALESFORCE cs3Label=relatedAudits cs3=1500197720691_b7f6317c-b8de-476a-bc8f-dfa570e00349 cs4Label=policyIDs cs4=
2017-07-16T09:17:03.361Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy3|3|externalId=596b2fd70c204203a33a3eeb start=1500196623361 end=1500196623361 msg=Activity policy ''test-activity-policy3'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eeb cs2Label=uniqueServiceAppIds cs2=APPID_O365 cs3Label=relatedAudits cs3=1500196549157_a0e01f8a-e29a-43ae-8599-783c1c11597d cs4Label=policyIDs cs4=
2017-07-16T09:17:15.426Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy|3|externalId=596b2fd70c204203a33a3eec start=1500196635426 end=1500196635426 msg=Activity policy ''test-activity-policy'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft 365 admin center cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b2fd70c204203a33a3eec cs2Label=uniqueServiceAppIds cs2=APPID_O365_PORTAL cs3Label=relatedAudits cs3=1500196557398_3e102b20-d9fa-4f66-b550-8c7a403bb4d8 cs4Label=policyIDs cs4=59f0ab35f797fa9811e9b1c7
2017-07-16T09:17:46.290Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy4|3|externalId=596b30200c204203a33a4765 start=1500196666290 end=1500196666290 msg=Activity policy ''test-activity-policy4'' was triggered by ''admin@contoso.com'' suser=admin@contoso.com destinationServiceName=Microsoft Exchange Online cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b30200c204203a33a4765 cs2Label=uniqueServiceAppIds cs2=APPID_OUTLOOK cs3Label=relatedAudits cs3=1500196587034_a8673602-7e95-46d6-a1fe-c156c4709c5d cs4Label=policyIDs cs4=
2017-07-16T09:41:04.369Z CEF:0|MCAS|SIEM_Agent|0.102.17|ALERT_CABINET_EVENT_MATCH_AUDIT|test-activity-policy2|3|externalId=596b34b10c204203a33a5240 start=1500198064369 end=1500198064369 msg=Activity policy ''test-activity-policy2'' was triggered by ''user2@test15-adallom.com'' suser=user2@test15-adallom.com destinationServiceName=Google cn1Label=riskScore cn1= cs1Label=portalURL cs1=https://cloud-app-security.com/#/alerts/596b34b10c204203a33a5240 cs2Label=uniqueServiceAppIds cs2=APPID_33626 cs3Label=relatedAudits cs3=1500197996117_fd71f265-1e46-4f04-b372-2e32ec874cd3 cs4Label=policyIDs cs4=
Contoh pemberitahuan Defender for Cloud Apps dalam format CEF
Tabel berikut ini menjelaskan bidang CEF yang digunakan dalam pemberitahuan dan aktivitas Defender for Cloud Apps.
| Berlaku untuk | Nama bidang CEF | Deskripsi |
|---|---|---|
| Aktivitas/Pemberitahuan | mulai | Tanda waktu aktivitas atau pemberitahuan |
| Aktivitas/Pemberitahuan | end | Tanda waktu aktivitas atau pemberitahuan |
| Aktivitas/Pemberitahuan | rt | Tanda waktu aktivitas atau pemberitahuan |
| Aktivitas/Pemberitahuan | msg | Deskripsi aktivitas atau pemberitahuan seperti yang ditunjukkan di portal |
| Aktivitas/Pemberitahuan | suser | Pengguna yang menjadi subjek aktivitas atau pemberitahuan |
| Aktivitas/Pemberitahuan | destinationServiceName | Aktivitas atau aplikasi asal pemberitahuan, misalnya, Microsoft 365, Sharepoint, Box. |
| Aktivitas/Pemberitahuan | cs<X>Label | Setiap label memiliki arti yang berbeda, tetapi label itu sendiri menjelaskannya, misalnya, targetObjects. |
| Aktivitas/Pemberitahuan | cs<X> | Informasi yang sesuai dengan label (pengguna target aktivitas atau pemberitahuan sesuai contoh label). |
| Activities | EVENT_CATEGORY_* | Kategori aktivitas tingkat tinggi |
| Activities | <TINDAKAN> | Jenis aktivitas, seperti yang ditampilkan di portal |
| Activities | externalId | ID Peristiwa |
| Activities | dvc | IP perangkat klien |
| Activities | requestClientApplication | Agen pengguna perangkat klien |
| Alerts | <jenis pemberitahuan> | Misalnya, "ALERT_CABINET_EVENT_MATCH_AUDIT" |
| Alerts | <nama> | Nama kebijakan yang cocok |
| Alerts | externalId | ID pemberitahuan |
| Alerts | src | Alamat IPv4 perangkat klien |
| Alerts | c6a1 | Alamat IPv6 perangkat klien |
Langkah 3: Memvalidasi bahwa agen SIEM berfungsi
Pastikan status agen SIEM di portal bukan kesalahan Koneksi atau Terputus dan tidak ada pemberitahuan agen. Jika koneksi tidak berfungsi selama lebih dari dua jam, status diubah menjadi Kesalahan koneksi. Jika koneksi tidak berfungsi selama lebih dari 12 jam, status diubah menjadi Terputus.
Sebagai gantinya, status harus terhubung, seperti yang terlihat di sini:
Di server Syslog/SIEM Anda, pastikan Anda melihat aktivitas dan pemberitahuan yang tiba dari Defender for Cloud Apps.
Membuat ulang token Anda
Jika Anda kehilangan token, Anda selalu dapat meregenerasinya dengan memilih tiga titik di akhir baris untuk agen SIEM dalam tabel. Pilih Regenerasi token untuk mendapatkan token baru.
Mengedit agen SIEM Anda
Untuk mengedit agen SIEM, pilih tiga titik di akhir baris untuk agen SIEM dalam tabel, dan pilih Edit. Jika Anda mengedit agen SIEM, Anda tidak perlu menjalankan ulang file .jar, file tersebut akan diperbarui secara otomatis.
Menghapus agen SIEM Anda
Untuk menghapus agen SIEM, pilih tiga titik di akhir baris untuk agen SIEM dalam tabel, dan pilih Hapus.
Langkah berikutnya
Jika Anda mengalami masalah, kami di sini untuk membantu. Untuk mendapatkan bantuan atau dukungan untuk masalah produk Anda, buka tiket dukungan.